时事分析 | 创新及科技发展 | 2016-09-10 | 《经济日报》

隐身防黑客 「暗网」保平安?



网络摄录机、智能电视、电子门锁及温度自动调节器等结合实物与虚拟数据的物联网设备,近年开始融入家中,家长以网络摄录机留意家中年幼子女状况,也愈来愈普遍。有业界人士预计,随着物联网产品推陈出新,2020年全球将装置有260亿个物联网设备。 [1]

但早前的一宗新闻,却为物联网的应用响起警号。事缘一名英国艺术家截取了香港等地的网络摄录机图像,于伦敦一间美术馆展出。有传媒得悉事件后随意在网上搜索,亦找到逾50个香港网络摄影机的影像。 [2]智经曾撰文指出,网络保安一日未能完善,保障私隐,物联网产品之间的协作将难以推动,遑论产业可持续发展。 [3]今次网络摄录机图像外泄,正是与港人切身的例证。

七成物联网设备存保安漏洞

港府近年积极发展智慧城市,但惠普2014年的研究指出,七成物联网设备存在保安漏洞,平均每部设备漏洞多达25个,包括容许用户设定简单易记的密码、用户资料在互联网存取过程未有加密,令资料容易被黑客截取等。 [4]去年香港有关电脑保安及病毒等事故已高达4,928宗,数字创近十年新高。 [5]早前访港的国际刑警组织代表就指出,香港的罪案已由现实世界转移至互联网领域,尤其是物联网[6];另有专家指,移动装置及物联网设备将成为黑客的攻击目标。 [7]

智经早前撰文提及,即使是一些看似无关痛痒的公开资讯,例如一张上载至Facebook的自拍照,也可能会出卖好比身份证号码的重要私隐。倘若有黑客入侵家居的网络摄录机,伺机登堂入室爆窃,甚或操控智能汽车,危害他人生命,后果更是不堪设想。其引申的挑战在于,现时市面上的物联网设备,包括个人资料在内的数据在传输过程犹如横越汪洋,倘若设备厂商使用的保安系统存有漏洞、用家只使用预设密码保护装置,甚至完全没有加密,黑客要在资料传输时拦途截击,可谓易如反掌。 [8]

利用暗网隐身

为了在资料传输的惊涛骇浪中避过黑客入侵,有不少人尝试了各种方案。其中研究团队The Guardian Project,便利用暗黑网页(简称「暗网」,英文称为Dark net)背后的加密及隐身技术,研发名为Home Assistant的软体,将资料传送过程全面加密并隐​​身,直至抵达目的地网站前才现形。更重要的是,研究团队认为由于用家在传送资料前早已「变身」,黑客即使攻击目的地网站,亦无法追溯用家的真实身分。 [9]

要明白暗网的「隐身术」,首先要了解我们平日接触的网站,只是互联网的表层,称为「表网」(Surface web),仅占整个互联网内容的4%;至于学校内联网、网上银行及电邮户口等需要登入、或特定权限才可浏览的页面,在广义上统称为「深网」(Deep web),占互联网其余的96%内容,亦有专家指其容量可能是Google搜寻结果的500倍。 [10]深网之内,还埋藏着不会公开网址,亦无法透过Chrome或Firefox等一般浏览器进入的暗网。所谓暗网,简言之是经过加密,让使用者隐藏身分和网上行踪的网络,其中最热门的浏览技术名为Tor。

Tor是The Onion Router的缩写,直译洋葱路由器,网址由一串无意义的数字和字母组成,并以「.onion」作结尾,需要特殊浏览器才能造访这些洋葱网站。 [11]Tor的原理是将使用者的IP位址再编码,才出发到使用者要造访的网站,令网站难以得知使用者的来源地或整个传送路径。 [12]

被不法分子利用隐藏身份

Tor最初源于美国海军研究实验室的资助项目,由于使用者能够匿藏身分,其样貌、身分、所在位置以至其道德底线,在暗网世界都以「匿名者」取代。落入民用后,暗网成为洗黑钱、儿童色情及人口贩卖,以至招募毒贩、杀手等犯罪行为及不道德交易的平台,令美国联邦调查局等执法机关相当头痛。举个例子,有人若要买凶杀人,为免罪名「上身」,决不会直接联络凶手,而会找中间人张罗。中间人或许会再将工作外判,甚至跨国招聘人才,一层一层下来,凶徒日后即使出庭招供,亦只能供出「上家」,无从指证主谋。

在香港提起深网、暗网,最具话题性的反而是本地网络小说作家「恐惧鸟」出版两本有关深网的著作,因内容被指「变态思想」和「残忍行为」,而被联署要求禁售,最终要回收并加上警告字句才可重新推售。 [13]

水能载舟 暗网或成互联网主流

虽然有不法分子利用暗网作恶,然而,对于身处极权国家的新闻从业员及异见分子来说,暗网却是了解外国新闻及相互沟通的重要工具。而自从斯诺登事件后,也愈来愈多人投靠好像Tor这种能够保障私隐的浏览工具,毕竟人们花在线上的时间愈多,就愈担心私隐外泄。

据统计,全球每日平均逾175万人使用Tor浏览暗网[14],其中美国的使用者占约两成[15],香港则有约4,000至6,000名使用者。 [16]事实上,有专家抽样分析现存暗网网站的内容,发现约半数都是作合法用途,例如网页寄存、Tor教学及网志等,部分甚至只是一般浏览用途[17],以上提到的Home Assistant,更是以Tor背后的技术「以毒攻毒」,保护物联网设备的数据安全。更广为人知的例子,包括英国歌手Aphex Twin在暗网发表新专辑;Facebook为暗网用家开设专用版本[18];暗网专用的Google式搜寻引擎「Grams」,亦已于2014年面世。 [19]有人预计,暗网不久将来会逐步成为互联网主流,大型社交网站、主流媒体都会融入暗网世界。 [20]

资料来源:Cryptopolitik and the Darknet

当然,没有网络科技是滴水不漏,否则有「毒品eBay」之称的大型毒品交易网站Silk Road,就不会被美国联邦调查局查封,网站主脑Ross Ulbricht也不会落网。在此之前,Silk Road涉及的交易额逾两亿美元。 [21]然而「一鸡死,一鸡鸣」,类似的网站于拘捕行动后仍雨后春笋般涌现,当中许多都对香港销售毒品等违禁品。 [22]

科技本身没有正邪之分,前文提及的Tor原意,都是保障使用者私隐及数据的安全,但人类如何应用却难以控制,而再安全的加密技术,都有被破解的一日。当我们的生活无可避免需要与科技融合,甚至倚赖科技的时候,学会提高警觉,妥善保护数据,风险总比在互联网「坦荡荡」的低。

1 “HP Study Reveals 70 Percent of Internet of Things Devices Vulnerable to Attack,” Hewlett-Packard, http://www8.hp.com/us/en/hp-news/press-release.html?id=1744676#.V5ctO_l96M-, last modified July 29, 2014.
2 〈英艺术家展港IP Cam截图 部分家居照「见样」 私隐专员去函促停〉,《明报》,2016年8月17日,A12页。
3 「数据协作与私隐 物联网发展的樽颈」。取自智经研究中心网站:http://www.bauhinia.org/index.php/zh-HK/analyses/456,最后更新日期2016年6月3日。
4 同1。
5 「统计资料」。取自香港电脑保安事故协调中心网站:https://www.hkcert.org/statistics,查询日期2016年7月28日。
6 〈警副处长:网络犯罪成趋势 去年损失18亿较前年急增五成〉,《明报》,2016年5月17日,A12页。
7 李彦炜,〈勒索软件趋增 3招应对〉,《香港经济日报》,2016年7月20日,A10页。
8 “Using Tor to Securely Access To Your Home Network of 'Things',” YouTube, https://www.youtube.com/watch?v=j2yT-0rmgDA, last modified July 20, 2016.
9 Andy Greenberg, “Now You Can Hide Your Smart Home on the Darknet,” WIRED, July 20, 2016, https://www.wired.com/2016/07/now-can-hide-smart-home-darknet/.
10 Matthew Wisnioski, “Inside the online world not indexed by search engines,” The Washington Post, June 26, 2015, https://www.washingtonpost.com/opinions/a-tour-of-the-webs-other-dark-side/2015/06/25/19a5ee2e-0e11-11e5-9726-49d6fa26a8c6_story.html.
11 “Jamie Bartlett: How the mysterious dark net is going mainstream,” TED, https://www.ted.com/talks/jamie_bartlett_how_the_mysterious_dark_net_is_going_mainstream?language=en, accessed July 28, 2016.
12 “Tor: Overview,” The Tor Project, https://www.torproject.org/about/overview, accessed July 28, 2016.
13 〈血腥畅销书无封套警告小学生追看出版商认处理失当下架〉,《明报》,2016年5月12日,A11页;〈66组织联署促禁售「恐惧鸟」两书〉, 《明报》,2016年5月22日,A06页。
14 “Direct users by country,” Tor Metrics, https://metrics.torproject.org/userstats-relay-country.html?start=2016-04-28&end=2016-07-27&country=all&events=off , accessed 27 July, 2016.
15 “Top-10 countries by directly connecting users,” Tor Metrics, https://metrics.torproject.org/userstats-relay-table.html?start=2016-04-28&end=2016-07-27, accessed 27 July, 2016.< br /> 16 “Direct users by country,” Tor Metrics, https://metrics.torproject.org/userstats-relay-country.html?start=2016-04-28&end=2016-07-27&country=hk&events=off , accessed 27 July, 2016.
17 Daniel Moore & Thomas Rid (2016) Cryptopolitik and the Darknet, Survival, 58:1, 7-38, DOI: 10.1080/00​​396338.2016.1142085, pp.21 and 24.
18 同11。
19 “Grams: Search The DarkNet Marketplaces!” DeepDotWeb, https://www.deepdotweb.com/grams-search-darknet-marketplaces/, accessed July 28, 2016.
20 同11。
21 “Silk Road founder gets life for website which allowed users to buy drugs and illicit goods,” South China Morning Post, May 31, 2015, http://www.scmp.com/news/world/article/1813270/silk-road-founder-gets-life-underground-website-which-allowed-users-buy.
22 Tim Chen, “Can Hong Kong's police fight 'Dark Net'? Surge in illegal drug sites as experts warn city is 'ripe for addiction',” South China Morning Post, August 24, 2015, http://www.scmp.com/tech/innovation/ article/1851158/dark-net-online-drug-markets-help-hongkongers-buy-cocaine-crystal.